OSSEC编写DECODE

OSSEC编写DECODE

OSSEC之所以产生报警，就是由于抓到了信息后由DECODE对信息进行解码，然后匹配规则（rule）进行相关告警产生ALERTID。
会编写DECODE会对使用OSSEC 有很大的帮助。 
OSSEC测试命令 ossec-logtest。
这里编写一个简单的规则，遇到caoqing的时候，会产生一条ALERTID为8888严重度级别为7的报警信息。
首先是创建一个规则,在/var/ossec/rule下创建一个testrule.xml内容为：
<group name="localtest">
<rule id="8888" level="7">
  <decoded_as>caoqing</decoded_as>
  <description>testrule</description>
</rule>
</group>
编写DECODE，在/var/ossec/etc/decoder.xml(默认安装目录)
<decoder name="caoqing">
  <prematch>^caoqing</prematch>
</decoder>
使用/var/ossec/bin/ossec-logtest进行测试
# /data/ossec/bin/ossec-logtest 
2014/03/19 16:28:06 ossec-testrule: INFO: Reading local decoder file.
2014/03/19 16:28:06 ossec-testrule: INFO: Started (pid: 23621).
ossec-testrule: Type one log per line.

caoqing


**Phase 1: Completed pre-decoding.
       full event: 'caoqing'
       hostname: 'kvmtest02'
       program_name: '(null)'
       log: 'caoqing'

**Phase 2: Completed decoding.
       decoder: 'caoqing'

**Phase 3: Completed filtering (rules).
       Rule id: '8888'
       Level: '7'
       Description: 'testrule'
**Alert to be generated.